Network as a Service: Das NaaS-Modell der Zukunft?

SD-WAN und SASE könnten NaaS zum Durchbruch verhelfen

SD-WAN-Produkte und -Services basieren auf einem virtuellen Netzwerk, bei dem CPE ein Netzwerk erstellt, das auf IP aufsetzt. Typischerweise wird SD-WAN verwendet, um VPNs auf kleine Standorte oder sogar auf Remote-Mitarbeiter auszuweiten. Die große Mehrheit dieser Verbindungen fügt eine neue Netzwerkschicht mit eigenen Headern und einer eigenen Adressierung hinzu, so dass SD-WAN die Konnektivität von Benutzern und Anwendungen verwalten kann.

SD-WAN-Geräte können Nutzer, Anwendungen oder Traffic-Typen – Daten, Video und Sprache – priorisieren, was mit der Fähigkeit von NaaS zusammenpasst, eine kontrollierbare Quality of Service (QoS) zu bieten. Durch das Hinzufügen anderer CPE-Funktionen, zum Beispiel Sicherheit, können die SD-WAN-Geräte das gesamte Spektrum der NaaS-Dienste unterstützen.

Zusätzlich zu SD-WAN verstärkt der Marketing-Hype um Secure Access Service Edge (SASE) eine weitere CPE-basierte NaaS-Strategie, die auf Sicherheit basiert. SASE greift normalerweise auf Tools wie Netzwerk-Firewalls oder Zugriffssteuerung zurück und benötigt deshalb keine virtuelle Netzwerktechnologie wie SD-WAN. SASE kann SD-WAN-Funktionen nutzen und Traffic priorisieren, aber für die Verwaltung des Datenverkehrs ist kein virtuelles Netzwerk erforderlich. Stattdessen kann diese Technologie auch auf Richtlinien basieren.

Universal CPE (uCPE) bietet eine weitere Option. Es ermöglicht die Konvergenz von SD-WAN und SASE auf einem einzigen Gerät. Wird es virtuell eingesetzt, kann ein Provider damit außerdem CPE vom Standort des Kunden in das Netzwerk verlagern, normalerweise nahe dem Netzwerk-Edge der Service-Provider-Infrastruktur.

uCPE basiert auf einer generischen Hardware – daher die Bezeichnung Universal –, die sich vor Ort beim Kunden am Punkt der Serviceverbindung befindet, wo auch SD-WAN und SASE anzutreffen sind. Im Gegensatz zu SD-WAN und SASE legt uCPE keine spezifischen Startfunktionen fest. Das Ziel ist stattdessen, dass die von den Benutzern benötigten Funktionen in uCPE geladen werden können.

Netzwerkbasiertes NaaS-CPE wird zu Virtual CPE

Wenn CPE vom Standort des Kunden in das Netzwerk verlagert wird, in der Regel nahe dem Netzwerk-Edge der Service-Provider-Infrastruktur, wird es zu Virtual CPE (vCPE), das heißt zu uCPE, das mit gehosteten Funktionen ausgestattet ist. Der Großteil der vCPE-Implementierungen basiert auf den Dokumenten der ETSI Network Functions Virtuailzation Industry Specification Group.

Der wichtigste Vorteil der Edge-basierten Ansätze für ein NaaS-Geschäftsmodell besteht darin, dass NaaS den Nutzern, die es wünschen, zur Verfügung gestellt werden kann, ohne die Funktionsweise des Internets, der VPNs oder der Netzwerkinfrastruktur zu verändern. Der größte Nachteil ist, dass NaaS alle QoS- und Sicherheitsprobleme im Zusammenhang mit IP-Netzwerken erbt. Der Nutzer-Traffic lässt sich am CPE- oder vCPE-Punkt priorisieren, aber die QoS des IP-Netzwerks kann man nicht verändern. Ebenso wenig lässt sich ein DDoS-Angriff (Distributed Denial of Service) auf die IP-Adressen, die CPE oder vCPE verbinden, verhindern.

Verwendung von SDN und Policy-Management als NaaS-Alternativen

Um NaaS effektiver zu gestalten, ist es notwendig, das Netzwerk selbst für den Benutzer stärker zu personalisieren. Wir wissen, dass es nicht möglich ist, dass ein umfangreiches IP-Netzwerk den Traffic jedes einzelnen Benutzers und jeden Anwendungs-Workflow erkennt.

Infolgedessen muss die Nutzererkennung auf einer tieferen Ebene erfolgen, aber nicht durch das gesamte Netzwerk, da der individuelle Benutzer-Traffic nicht nachverfolgt werden kann, wenn er mit dem von Tausenden anderer Nutzer aggregiert wird. Zwei Technologien können dabei helfen, dieses Ziel zu erreichen: Software-defined Networking (SDN) und Policy-Management.

SDN trennt die Forwarding oder Data Plane eines Netzwerks von der Control Plane, die den besten Pfad von der Quelle zum Ziel bestimmt. SDN greift auf OpenFlow zurück, ein Protokoll, das es einem zentralen Controller ermöglicht, Aktualisierungen der Weiterleitungstabelle an jeden weiterleitenden Switch zu senden. Der zentrale Controller besitzt die vollständige Kontrolle über die Routen. Ohne die Verwendung von adaptiven Routing-Protokollen oder Routenerkennung steuert ein präzises Traffic Engineering die QoS.

Beim Einsatz in Edge-Nähe ist die Anzahl der Benutzerverbindungen an einem bestimmten Weiterleitungsgerät geringer, so dass SDN verwendet werden könnte, um die Nutzererkennung tiefer in das Netzwerk auszudehnen. An dem Punkt, an dem die Anzahl der Nutzer-Flows die Leistungsfähigkeit eines Geräts übersteigt, würde das Traffic Engineering für QoS sorgen. Alternativ könnte das Traffic-Management an einen IP-Core auf Basis von MPLS übergeben werden.

Das Policy-Management kann die QoS in SASE oder sogar SD-WAN steuern, weil es in der Lage ist, die Erkennung von Benutzern und Traffic-Typen zu unterstützen. Darüber hinaus lassen sich per Policy-Management tiefere Ebenen des Netzwerks erreichen, auch wenn die Erzwingung von Richtlinien bei einer wachsenden Anzahl von Benutzern und Traffic-Strömen irgendwann viel zu verarbeitungsintensiv werden würde.

Der Vorteil des Policy-Managements liegt darin, dass es im Gegensatz zu SDN keine großen Änderungen an den vorhandenen Netzwerkgeräten erfordert. Die meisten Router sind für Policy-Management geeignet. Der Nachteil besteht darin, dass sich das Policy-Management nur schwierig auf Einzelbenutzerebene anpassen lässt.

Welche NaaS-Strategie wird sich am Ende durchsetzen?

Die NaaS-Strategie wird mit ziemlicher Sicherheit auf uCPE basieren. Der Netzwerk-Edge ist der beste Ort, um für die Nutzererkennung zu sorgen. Und wenn dies das Ziel von NaaS ist, dann wird das NaaS-Geschäftsmodell der Zukunft höchstwahrscheinlich auf CPE basieren.